Продолжим тему безопасности и кратко отметим ещё несколько моментов.
Второе по важности после юрадреса – это ничего не хранить на компьютерах и периодически проверять рабочие места сотрудников на наличие разной компрометирующей информации. Минусов у такого подхода нет, а плюсы очевидны. Если же всё будет на компьютерах, что-то может просочиться и остаться в папках загрузки, документах, корзине. Даже при удалении документов в корзину и очистке ее, специалисты из айти отдела ОБЭП могут восстановить все данные с помощью специальных программ. Многие менеджеры не уделяют этому вопросу особого внимания и сохраняют файлы так, как им удобно. Но даже одной счёт-фактуры от плохого партнёра будет достаточно, чтобы полицейские взяли и сделали срез по контрагентам. Вот так просто из-за одного документа вам может прилететь на ровном месте.
Поэтому всё, что касается деятельности компании, храните на удалённом сервере. Его можно держать где угодно, но только не в России, так как все российские сервисы по запросу выдают любую информацию. В случае с другими странами всё гораздо сложнее и, скорее всего, полицейские даже не будут заморачиваться. Поднять сервер не сложно. Сервисов, которые предоставляют услуги по хранению информации на удалённых северах множество, стоят они недорого – 3-4к в месяц. Вы покупаете место и необходимое количество рабочих столов и получаете айпи адрес, по которому туда попадаете. Риски, что информацию добудет кто-то ещё, исключены. По поводу надёжности можем сказать, что, если сервис известный, вероятность того, что с ним что-то случится, нулевая. Ни у нас, ни у наших знакомых таких случаев не было. Но для перестраховки стоит делать бэкапы, например, раз в месяц и скидывать информацию на другой сервис или жёсткий диск, спрятанный в надёжном месте.
У руководителя, зама или администратора должен быть доступ к серверам, админские права и возможность их все разом «положить», отключив соединение. Для подстраховки нужно несколько лиц, так как кто-то может быть недоступен. Даже если написать строгую инструкцию, есть человеческий фактор, и работники могут быстро не закрыть компьютеры, если к вам придут сотрудники правоохранительных органов. А полиция сейчас приходит с айтишниками, которые сразу садятся за компьютер и начинают скачивать всю доступную там информацию. Так, ваша система безопасности может полететь к чертям просто из-за того, что один сотрудник оставил комп и вышел в туалет. Поэтому также нужен ответственный, кто маякнёт руководителю или заму, что случилась экстренная ситуация. Тот удалённо зайдёт на сервис и всё разом отключит.
Третий момент – это почта. Многие из наших клиентов, не задумываясь, общаются через Mail и Yandex. Это большой риск. Их серверы находятся в России, и доступ спецслужб к ним практически онлайн. Взломать эти почты сегодня не проблема даже для школьников, следовательно, получить всю вашу переписку не сложно. Лучше использовать зарубежные сервисы, которые вас не сольют, как минимум – Google, как максимум Protonmail. Минус протона, что с некоторыми сервисами они не взаимодействуют, но всё решается. Раздайте работникам корпоративные почты и следите, чтобы они общались только с них под угрозой штрафов.
Четвертое. Используйте VPN – это гарантия безопасности трафика, запросов и посещений страниц. Лучше тоже не российский. Мы используем PIA, но он запрещён в РФ и, чтобы его скачать, нужно как минимум поменять настройки региона. Сервис русифицирован, простой и понятный. Есть функция, которая ограничит входы в интернет при невключенном VPN. Это очень полезно как раз для забывчивых сотрудников. Но можно использовать и любой другой.
Если есть вопросы по безопасности — обращайтесь. Не пренебрегайте этим и донесите всем вашим сотрудникам.
Продолжение следует.
